<big id="3dhhl"><th id="3dhhl"><progress id="3dhhl"></progress></th></big>

              <listing id="3dhhl"></listing>
              <noframes id="3dhhl">

              <span id="3dhhl"></span>

                    全國服務熱線:

                    400-677-1258

                    企航服務

                    SERVICE

                    聯系我們

                    400-677-1258

                    上海市長寧區番禺路390號時代大廈21層

                    office@isosqt.com

                    新聞資訊 >更多
                    專業資訊

                    當前位置: 首頁 > 專業資訊

                    企航顧問ISO/IEC27701隱私信息管理體系服務

                    2022/12/30

                    隨著社交媒體APP和物聯網設備在生活中的廣泛應用,以及全球隱私法律法規的激增,諸如:《歐盟通用數據保護條例》(GDPR)、《加州消費者隱私法》(CCPA)和《中國網絡安全法》(China network security Law),隱私保護問題已然成為了當前社會的焦點,這意味著組織現在面臨著來自客戶、最終用戶、投資者和監管機構的多重壓力,企業如何管理個人可識別信息(PII)或個人數據,如何確保隱私合規,都成為擺在企業面前亟待解決的新問題和新挑戰。


                    ISO/IEC27701隱私信息管理體系標準作為ISO/IEC27001與ISO/IEC27002在管理上的延伸標準,其目標是通過新增的要求來增強現有信息安全管理體系(ISMS),以便建立、實施、維護和不斷改進隱私信息管理體系(PIMS),標準概述了適用于個人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對個人隱私的各種風險。


                    企航顧問ISO27701服務介紹.jpg


                    一、什么是ISO/IEC 27701?


                    ISO/IEC 27701是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴展,全稱《安全技術—擴展ISO/IEC 27001和ISO/IEC 27002的隱私信息管理—要求與指南》。它是ISO標準委員會以ISO 27001為基準,以ISO 27552為藍本,建立發布的隱私信息管理體系標準,為保護個人隱私提供指導。


                    ISO/IEC 27701標準的發布,填補了隱私信息管理體系的空白,將隱私保護的原則、理念和方法,融入到信息安全保護體系中,并且對PII控制者和PII處理者進行了較為詳細且落地性強的規定,給企業在隱私保護和信息安全方面給出了指導建議。


                    二、ISO/IEC27701產生的背景

                    數據濫用、數據竊取、隱私泄露以及“大數據殺熟”等數據安全問題呈現爆發趨勢。在此背景下,全球各個國家紛紛頒布相關法律法規,對數據安全與隱私保護相關問題進行嚴格的規范與引導。


                    1、2018年歐盟GDPR《General Data Protection Regulation》生效。2021年,歐盟在GDPR中采信由監管機構認可或國家認可機構認可的第三方認證機構頒發的認證證書

                    2、2017年6月1日,《中華人民共和國網絡安全法》(通常簡稱《網安法》)頒布實施,2021年11月1日,我國的《個人信息保護法》生效

                    3、美國《隱私權法》、《電子通訊隱私法》、《金融服務現代化法案》、《兒童在線隱私權保護法案》、《健康保險攜帶和責任法》和《有效保護隱私權的自律規范》等

                    4、日本《個人信息保護法》等

                    5、加拿大《隱私法》、《個人信息保護與電子文件法》等

                    6、國際:OECD《關于保護隱私和個人數據國際流通的指南》和《APEC隱私保護框架》等

                    7、……


                    為規范組織內部個人隱私信息安全管理,滿足各國相關隱私保護法律法規的要求,國際標準化組織(ISO)以ISO 27001為基準,以ISO 27552為藍本,建立了ISO 27701標準。


                    三、ISO/IEC27701的核心術語


                    1、PIIPersonally Identifiable Information個人可識別信息 ,也譯作個人身份信息

                    (1)可用于識別此類信息相關的 PII 主體的任何信息

                    (2)直接或間接鏈接到 PII 主體的信息


                    2、PII控制者:確定處理個人可識別信息(PII)的目的和手段隱私利益相關者,但不包括出于個人目的使用數據的自然人


                    3、PII處理者:代表并按照 PII 控制者的說明處理PII的隱私利益相關者


                    4、PIMSPrivacy Information Management System隱私信息管理體系


                    5、Customer

                    (1)PII控制者的customer:與PII控制者有合約關系的組織,可以是共同控制者

                    (2)PII處理者的customer:與PII處理者有合約關系的PII控制者

                    (3)與PII處理的分包商有合約關系的PII處理者


                    四、ISO/IEC27701標準的結構


                    ISO/IEC 27701是ISO/IEC 27001和ISO/IEC 27002在隱私方面的擴展,并為隱私保護提供了除ISO/IEC 27001和ISO/IEC 27002之外的額外的指導。全文共分為8個章節及6個附錄,主要的要求和指導內容集中在第5-8章。


                    【圖1】ISO27701-2019標準結構.png


                    1、條款1-4,給出了標準的范圍,術語、定義等。

                    2、條款5介紹了ISO/IEC 27001中延伸出的關于PIMS的擴展要求以及本標準對PIMS的附加要求。

                    3、條款6介紹了ISO/IEC 27002中對PIMS的擴展及附加要求。上述條款對PII的控制者和處理者均適用。

                    4、條款7給出了針對PII控制者的ISO/IEC 27002擴展指南。

                    5、條款8給出了針對PII處理者的ISO/IEC 27002擴展指南。這兩章從PII的收集和處理,對PII主體的義務,Privacy by design & Privacy by default,PII的共享、傳輸和披露四個方面做出了相應規定。

                    6、附錄A是針對PII控制者的PIMS特定的控制目標和控制措施。

                    7、附錄B是針對PII處理者的PIMS特定的控制目標和控制措施。

                    8、附錄C給出了標準與ISO/IEC 29100的映射。

                    9、附錄D是與GDPR的映射。

                    10、附錄E是與ISO/IEC 27018和ISO/IEC 29151的映射。

                    11、附錄F則是如何在處理PII時將ISO/IEC 27001和ISO/IEC 27002擴展到隱私保護。


                    體而言,ISO/IEC 27701標準通過第5章和第6章將ISO/IEC 27002與附加的PIMS控制項通過ISO/IEC 27001中PDCA的方式導入體系,形成完整的信息安全和隱私管理體系。此外,第7章和第8章從數據生命周期的角度新增分別針對PII控制者和處理者的控制要求。同時,附錄中還將本標準與GDPR、ISO/IEC 29100、ISO/IEC 27018及ISO/IEC 29151進行了映射。


                    【圖2】信息安全標準適用范圍.png

                    【上表:信息安全標準適用范圍】


                    五、ISO/IEC27701標準重點解讀


                    ISO/IEC 27701嵌套在ISO/IEC 27000系列中,并要求符合ISO/IEC 27001標準。ISO/IEC 27701擴展了ISO/IEC 27001的要求,在原有管理、實施、操作、監控、審查和不斷改進ISMS的流程基礎上,著重考慮了對于企業所持有PII的隱私保護。同時ISO/IEC 27701對ISO/IEC 27002實施指南中的隱私性進行了解釋和擴展,除業務連續性以外的所有控制域均增加了關于PII隱私的實施指南。


                    ISO/IEC 27701分別從PII控制者和PII處理者的角度,補充說明了收集和處理PII的條件、對PII主體的隱私保護義務、Privacy by design and privacy by default以及PII共享、轉移和披露的相關要求。


                    1、條款5“與 ISO/IEC 27001 相關的PIMS特定要求”

                    涵蓋了對 ISO/IEC 27001:2013 條款4~10附加的要求,均為認證要求。例如,如本標準中條款5.7.2 的表述:ISO/IEC 27001:2013,9.2 中所述要求以及5.1 中所述的解釋均適用。


                    該標準不增加任何新的內部審核要求,只要組織理解這是ISO/IEC 27001:2013 對處理個人可識別信息(PII)所可能增加風險的“信息安全”要求。


                    ISO/IEC 27701:2019對ISO/IEC 27001的以下條款增加了附加的要求:


                    【圖3】.png


                    2、條款6“與ISO/IEC 27002相關的PIMS特定指南”

                    涵蓋了與ISO/IEC 27002有關的其他PIMS相關指南。例如,標準條款6.9.4.4(與 ISO/IEC 27001:2013 的12.4.4 時鐘同步相對應)不包含任何附加要求,因為時鐘同步與隱私風險沒有相關性。


                    另一方面,標準條款6.9.3.1 (與 ISO/IC 27001:2013 的12.3.1 信息備份相對應)則增加較多的隱私管理指南,因為信息備份可能存在隱私風險,例如數據保留期、跨境數據傳輸等。


                    下表總結了 ISO/IEC 27002 各個領域中的控制點的數量。在 ISO/IEC 27002 中,共對32項新的控制點進行了修訂。與ISO/IEC 27002一樣,條款6中的指南為非認證條款。


                    【圖4】.png


                    3、條款7“對PII控制者附加的ISO/IEC 27002指南”

                    PII 控制者提供指南。對于 PII 控制者所需的所有控制點都列在標準的附錄A 中。這些控制點是規范性的,這意味著如果組織作為控制者,則應實施這些控制(參見如下認證中的 PII 控制者與PII 處理者)。條款7中所提供的指南有助于組織實施這些控制。然而,這些指南為非認證性的。


                    【圖5】.png


                    4、條款8“對PII處理者附加的ISO/IEC 27002指南”

                    PII 處理者提供指南。本標準附錄 B 列出了 PII 處理者的控制點。與附錄 A 相似,如果組織作為處理者,這些控制點是規范性的。條款8的指南是非認證性的。


                    【圖6】.png


                    六、建立ISO/IEC27701的收益


                    ISO/IEC 27701該標準為企業和其他組織提供了一個國際通用的隱私信息管理工具,對于降低企業隱私合規難度,便利企業提供合規證明,增強社會各方對企業的信任程度具有重要意義。實施隱私信息管理,至少獲得如下收益:


                    1、合規。通過明確對PII處理者的隱私保護要求,可以明確隱私保護管理合規目標,減輕組織合規負擔的同時降低組織合規風險,ISO27701標準附錄D中明確表示,單個隱私控制點可以滿足GDPR中的多項要求。滿足了 ISO27701 標準也就意味著基本滿足 GDPR 的要求,而 GDPR 是眾多隱私保護法規中最為嚴格的,也就意味著滿足了即將頒布的《隱私保護法》的系列要求。


                    2、完善數據安全能力和風險管理。實現持續的完善產品的非功能性要求,進而展示出產品在處理個人隱私安全、安全治理的績效,通過流程分析,在流程的輸入、輸出、控制過程中,識別、分析、驗證隱私保護需求、傳遞隱私保護價值,減少甚至消除隱私泄露的風險,如:體現為采用隱私控制技術(如日志脫敏、數據庫加密)、產品架構(如加密芯片)、技術路徑(如完整性校驗)等。


                    3、PIMS認證可以傳遞信任??蛻艋蚝献骰锇?,尤其是政府組織、金融機構作為承擔隱私風險的機構,通常會要求PII處理者提供相關證據(如PIA分析報告),從而證明PII處理者的產品能符合適用的隱私管理體系要求。通過得到授權的第三方機構對PII處理者進行基于國際標準的審核,可以極大地降低合規溝通成本,這種合規透明度的提高對于組織戰略和業務決策至關重要,同時PIMS認證也有助于向公眾傳達組織的可信度。


                    七、關于企航顧問


                    企航顧問在ICT(信息與通訊技術)領域提供的服務項目有:

                    1、ISO/IEC 20000  信息技術服務管理體系

                    2、ISO/IEC 27001  信息安全管理體系

                    3、ISO/IEC 27701  隱私信息管理體系

                    4、ISO/IEC 27017  云服務信息安全規范

                    5、ISO/IEC 27018  公共云個人信息(PII)處理者的信息安全控制規范

                    6、ISO/IEC 29151  個人信息保護的行為準則

                    7、ISO 22301  業務連續性管理體系

                    8、TISAX :可信信息安全評估及交換機制

                    9、ISO/SAE 21434  汽車網絡安全

                    10、TL 9000  通訊行業質量管理體系

                    11、……

                     企航顧問——智能制造.png

                     

                     

                    關于我們 /ABOUT US
                    上海企航科技咨詢有限公司【中文簡稱:企航顧問or企航咨詢、英文簡稱:SQT】 企航顧問 是從事卓越績效、精益生產、六西格瑪、管理體系的咨詢和培訓的管理顧問公司,是面向廣大企事業單位傳遞無文化障礙的先進管理理念與技術、提供國際化與本土化完美結合的管理咨詢和培訓的專業服務機構。 企航顧問 從1999年3月23日成立至今,為6,000...

                    友情鏈接:

                    微信平臺

                    線上課程

                    網站首頁| 關于我們| 企航服務| 新聞資訊| 學員展示| 專業資訊| 聯系我們| 熱門課程|
                    精品卡一卡二卡三专区免费,一卡二卡三卡四卡高清免费,国产一卡二卡对话,一卡二卡三卡4卡,亚洲AV无码一区二区二三区 欧美日韩2018一卡2卡3卡4卡网站| 国产毛1卡2卡3卡4卡视| 一卡二卡三卡四卡男生和女生| 国产亚洲一卡二卡≡卡四卡在线视频| 欧美日韩卡一卡二卡三专区免费| 一卡二卡三卡在线| e本大道一卡二卡入在线观看| 一卡二卡三卡四卡五卡在线观看| 欧洲一卡2卡3卡4卡国色天香九零| 欧美日韩一卡2卡三卡4卡乱码| 欧洲不卡二卡三卡四卡免费| 亚洲日本一区二区三区在线| 精品一卡2卡三卡4卡免费网站在线| 日本卡一卡二卡三卡四免费| 国产一卡二卡三四卡看视频| 精品免费一卡三卡四卡| 国产一二卡三卡四卡免费| 成人e道1卡2卡3卡| 高清一卡二卡三卡四卡视频在线观看| 国色天香一卡二卡三卡免费| 亚洲1卡2卡3卡4卡| 国产高清卡1卡2卡3| 一卡二卡≡卡四卡高清| e本大道一卡二卡| 日韩综合一卡二卡三卡死四卡| 精品一卡两卡三卡| av一卡二卡三卡免费| 高清一卡二卡三卡四卡免费| 一卡二卡三卡四卡高清在线| 高清精品一区二区三区| 成片2020卡二卡三卡四乱码| 免费网页一卡二卡| 高清卡1卡2| 欧洲e本大道二卡三卡免费| 精品一卡二卡≡卡四卡在线视频| 一本大道一卡2卡三卡四卡| 国卡一卡二卡三卡| 国产亚洲一卡2卡三卡4卡 乱码| 国产精品卡一卡2卡3卡4| 亚洲一卡2卡3卡4卡精| 免费国产卡一卡二卡三卡四| 欧美日韩一卡二卡3卡四卡| 一卡二卡三卡在线| 精品一区二区三卡四卡网站| 日本免费一卡二卡三卡四卡无卡免费| 欧美日韩1卡二卡三卡4卡| 欧美日韩一卡2卡三卡4卡 乱码| 亚洲不卡一卡2卡三卡4卡5卡中文字幕| 成片卡一卡二卡三| 成片一卡2卡3卡4卡乱码网站导航| 欧美日韩一卡二卡三乱码| 日本一卡二卡三卡四卡无卡2021| 毛一卡二卡三卡四卡免费观看| 日本一卡二卡2019| 日韩一卡二卡3卡四卡2021免费视频| 欧洲一卡2卡3卡4卡新区| 一卡二卡三卡不卡| 国产亚洲2020卡二卡三卡四乱码| 欧美日韩不卡一卡2卡三卡4卡5卡| 卡一卡二卡三卡四卡| 国产麻豆毛1卡2卡3卡4卡视频| 国内卡一卡二卡三区| 精品一卡二卡三新区入口| 欧美1卡2卡3卡| 日本一卡二卡三卡四卡观看| 1卡二卡三卡四卡| 欧洲一卡2卡3卡4卡国色天香九零| 成片卡1卡2乱码免费| 一卡二卡3卡四卡网站| 亚洲一卡2卡三卡4卡动漫| 欧洲一卡二卡3卡4卡| 欧美日韩一卡二卡三乱码| 一本二卡三卡四卡无卡免费高| 精品一区二区三卡四卡网站| 卡一卡二卡三免费视频每天| 成片一卡二卡三卡四卡| 国产亚洲一卡2卡3卡4卡网站| 成片一卡二卡3卡四卡| 一本高清一卡二卡三卡| 欧洲卡一卡二卡三新区| 欧洲一卡2卡三卡四卡高清| 亚洲一卡二卡三卡四卡兔| 亚洲精品一卡2卡三卡4卡高清| 日本卡一卡二卡三卡四免费| 一卡二卡三卡四卡视频版| 亚洲不卡一卡2卡三卡4卡5卡中文字幕| 学生一卡二卡三卡四卡| e本大道一卡二卡三卡四卡在线观看| 毛一卡二卡三卡四卡| 一本高清一卡二卡三卡| 插痛30分钟日本一卡二卡三卡| 成片一卡2卡三卡4卡棋牌| 国产1卡2卡3卡4卡免费| 国产一卡二卡三卡四卡网站| 日本卡1卡2卡3| 成片一卡2卡三卡4卡乱码毛1| 卡一卡二卡三免费视频成人用品| 日本1卡2卡3卡区| 一卡二卡三卡免费播放在线观看| 亚洲卡一卡二卡三卡四| 日本一卡二卡三卡四卡免| 2021国产精品一卡2卡三卡4卡| 国产亚洲一卡2卡3卡4卡国色天香九零| 一本大道一卡二卡三卡四卡免费| 毛一卡二卡三卡| 日本高清一卡二卡三卡四卡免费| 成片2021一卡2卡三卡4卡乱码不卡| 欧美日韩一卡二卡3卡四卡免费| 插痛30分钟一卡二卡三卡| 日本卡一卡二卡三卡四视频| 国产卡一卡二卡三卡四剧情简介| 毛1卡2卡3卡4卡免表| 一卡二卡三卡四卡免费观看| 欧洲一卡2卡三卡4卡乱码视频| 卡一卡2卡三卡4卡在线观看| 欧洲2021卡一卡二乱码| 日本一卡三卡四卡国色天香| 精品1卡二卡三卡四卡| 欧洲免费一卡二卡三卡| 精品一卡2卡3卡四卡国色天香| 国产亚洲一卡2卡3卡4卡国色天香九零| 精品AV一卡2卡三卡4卡幕| 欧洲一卡一卡高清在线观看|